Коммерческая тайна — таким термином в действующем законодательстве обозначается особый режим конфиденциальности данных.
Главным нормативным актом, регламентирующим правоотношения в области коммерческой тайны, выступает ФЗ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ (далее – закон № 98-ФЗ, закон «О коммерческой тайне»). Положения данного закона не распространяют свое действие на информацию, которая в соответствии с актуальным законодательством отнесена к гостайне (п. 3 ст. 1 закона «О коммерческой тайне»). Спектр данных, которые не могут быть объявлены коммерческой тайной, регламентирован ст. 5 закона № 98-ФЗ и постановлением Правительства РСФСР от 05.12.1991 № 35.
Отдельные нормы могут также устанавливаться отраслевым законодательством. В т. ч. коммерческой тайне в границах трудовых правоотношений, помимо ст. 11 закона «О коммерческой тайне», посвящен ряд положений Трудового кодекса РФ:
- работодатель правомочен уволить лицо за несоблюдение регламента коммерческой тайны, предусмотренного на предприятии (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ);
- за обнародование конфиденциальных сведений работник несет полную материальную ответственность (п. 7 ч. 1 ст. 243 ТК РФ);
- в трудовом договоре могут содержаться специальные условия, в т. ч. о запрете обнародовать конфиденциальную информацию (ст. 57 ТК РФ) и т. д.
Коммерческая тайна — это особый режим информации, характеризующийся ее конфиденциальностью и дающий ее обладателю возможность при сложившихся или допустимых обстоятельствах миновать нецелесообразные расходы, сберечь свою позицию на рынке или извлечь выгоду (п. 1 ст. 3 закона «О коммерческой тайне»).
Коммерческую тайну могут составлять данные, соответствующие следующим критериям:
- обладающие возможной или действительной коммерческой ценностью в связи с их неизвестностью и недоступностью в рамках закона иным лицам;
- обозначенные владельцем относящимися к коммерческой тайне.
Таким образом, обладатель любых сведений, кроме перечисленных в ст. 5 закона «О коммерческой тайне» и постановлении № 35, может по собственному усмотрению отнести их к коммерческой тайне (п. 1 ст. 4 данного закона).
Кроме того, в п. 11 ст. 13 ФЗ «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ установлено, что бухгалтерская (финансовая) отчетность не может образовывать коммерческую тайну.
Закон «О коммерческой тайне» отсылает к гражданскому законодательству при решении вопроса об определении убытков, вызванных несоблюдением требований законодательства РФ о коммерческой тайне. В общем случае применяется ст. 15 Гражданского кодекса РФ (ГК РФ).
Например, нормы о гражданско-правовой ответственности используются (п. 4 ст. 11 закона «О коммерческой тайне»), если лицом были разглашены конфиденциальные сведения, принадлежавшие организации, в которой оно ранее работало, уже после завершения трудовых отношений, но в тот период, когда для него еще действовал запрет на обнародование соответствующих сведений (например, в силу соглашения).
Специальные нормы ГК РФ регламентируют: оглашение сведений, в отношении которых утвержден режим коммерческой тайны, полученных одной стороной договора подряда в связи с выполнением своих обязательств по названному соглашению, невозможно без разрешения на это другой стороны (ст. 727 ГК РФ). Аналогичным образом осуществляется защита коммерческой тайны в рамках соглашения о возмездном оказании услуг (в соответствии с положениями ст. 783 ГК РФ).
Стоит отметить, что ранее в ст. 139 ГК РФ также содержалось понятие коммерческой тайны, однако с 1 января 2008 года данная норма утратила силу. В данный момент необходимо руководствоваться определением коммерческой тайны, имеющимся в законе № 98-ФЗ.
Коммерческая тайна предприятия или индивидуального предпринимателя как хозяйствующих субъектов обычно подразумевает не только секреты производства и технико-техническую информацию. Коммерческая тайна предприятия или индивидуального предпринимателя также распространяется на различного рода деловую информацию, в т. ч.:
- стратегию и тактику развития;
- планы по реализации продукции;
- планы рекламных кампаний и т. д.
Коммерческая тайна требует особого режима охраны, для чего необходимо надлежащее финансирование. В целях установления режима коммерческой тайны юрлица обладатель сведений, составляющих коммерческую тайну, должен предпринять конкретный перечень мер, регламентированных п. 1 ст. 10 закона «О коммерческой тайне».
Для индивидуального предпринимателя, обладающего конфиденциальной информацией и не нанимающего работников, устанавливается сокращенный перечень мер, направленных на поддержание названного режима.
Итак, правовой режим коммерческой тайны в отношении сведений может быть установлен, если они соответствуют обозначенным критериям:
- носят конфиденциальный характер;
- обусловливают возможность получения с их помощью определенной выгоды.
Коммерческая тайна предприятия может распространяться на различные конфиденциальные сведения, в т. ч. производственного и технико-технического характера, а также деловую информацию (планы развития, данные о партнерах и рынках сбыта и т. д.), если обладатель названных сведений посчитает необходимым установить для них соответствующий режим.
2. Правовой институт коммерческой тайны
Становление правового института коммерческой тайны в России связано со сложными периодами истории развития российской экономики (дореволюционный, советский, постсоветский) и нормативного ее обеспечения. Активизация законодательного процесса по формированию правового института коммерческой тайны совпадает с периодами развития рыночной экономики. Этот фактор свидетельствует об устойчивости взаимосвязи предпринимательской деятельности и института коммерческой тайны.
Развитие международной экономической интеграции способствует гармонизации правовых институтов коммерческой тайны российского и зарубежного права. Эти взаимообусловленные процессы вызывают необходимость согласования на международном уровне общих принципов и условий правовой защиты коммерческой тайны в рамках разработки и заключения соответствующих международных соглашений о коммерческой тайне.
Сущность правового института коммерческой тайны определяется ее информационной и экономической природой. Информационное содержание коммерческой тайны предопределяет совокупность информационных признаков правового института:
а) конфиденциальность (состояние) сведений, отнесенных к коммерческой тайне;
б) отсутствие доступа к таким сведениям;
в) принятие мер к их сохранности со стороны обладателя. Экономическое содержание коммерческой тайны предопределяет наличие экономических признаков правового института:
г) реальная или потенциальная ценность информации, составляющей коммерческую тайну;
д) уникальные формы, способы и условия предпринимательской деятельности, обеспечивающие ее обладателю экономическую выгоду и конкурентную устойчивость его бизнесу.
Правовой институт коммерческой тайны - совокупность относительно обособленных правовых норм, регулирующих однородные общественные отношения, складывающиеся по поводу формирования, использования и защиты информации, составляющей коммерческую тайну предприятия.
Правовой институт коммерческой тайны является самостоятельным комплексным институтом информационного права. Место правового института коммерческой тайны обусловлено следующими обстоятельствами: во-первых, его информационной природой, т.е. преимущественно информационными признаками (особым состоянием информации об уникальных формах и способах предпринимательской деятельности; во-вторых, тем, что объектом информационных правоотношений по поводу коммерческой тайны является информация, обладающая коммерческой ценностью.
Данный правовой институт имеет собственную подсистему информационного законодательства, принципы, обладает внутренней структурой и особым составом правового режима.
Нормы правового института коммерческой тайны интегрируют (объединяют) отдельные группы норм международного, конституционного, гражданского, уголовного, административного, трудового и иных отраслей права в единую систему с целью наиболее эффективного правового регулирования общественных отношений, возникающих по поводу секретов предпринимательской деятельности.
Правовой институт коммерческой тайны находится в тесной взаимосвязи с другими правовыми институтами информации ограниченного доступа. В зависимости от содержания и значимости информации, специального статуса субъекта, которому она передается, правовая защита коммерческой тайны обеспечивается правовым режимом обладателя коммерческой тайны и осуществляется дополнительно с помощью правовых институтов иных форм тайн (государственная, служебная, налоговая, таможенная, аудиторская и др.).
3. Ответственность за разглашение коммерческой тайны
Ответственность за разглашение коммерческой тайны предусмотрена законодательством на случай, когда сведения, отнесенные к этому виду охраняемой информации, стали доступны посторонним. Возможны различные варианты ответственности в зависимости от тяжести нарушения и его субъекта.
1. Гражданско-правовая ответственность
Общее правило содержится в п. 2 ст. 17 ФЗ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ, которое предусматривает иски:
- о взыскании возмещения убытков (ст. 15 ГК РФ);
- компенсации морального вреда;
- защите репутации.
В ГК РФ на замену ст. 139 с 01.01.2008 введена ст. 1472 (в отношении ноу-хау), которая предусматривает также взыскание убытков. Указанные меры могут быть применены к государственным и муниципальным органам (п. 3 ст. 14 ФЗ «О коммерческой тайне» от 29.07.2004 № 98-ФЗ), а также к контрагентам.
Для установления договорной ответственности в специальном разделе договора должны быть установлены:
- перечень охраняемой информации;
- меры ответственности (возмещение убытков, штрафная неустойка и др.).
Условиями привлечения к ответственности являются доказательства:
- доступа к предоставленным сведениям (с учетом их соответствия признакам, установленным п. 2 ст. 3 ФЗ № 98-ФЗ) третьих лиц;
- причинно-следственной связи между доступностью сведений и убытками.
Учитывая затруднительность доказывания размера убытков и причинно-следственной связи, предпочтительным выглядит установление в договоре штрафа.
2. Дисциплинарное наказание и увольнение за разглашение коммерческой тайны, материальная ответственность работника.
Привлечь работника к ответственности, вплоть до увольнения по подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, можно при соблюдении определенных условий (п. 43 постановления пленума ВС РФ от 17.03.2004 № 2 «О применении судами РФ ТК РФ»):
1. Работник обязан соблюдать коммерческую тайну (согласно трудовому договору или по отдельному письменному обязательству). Он ознакомлен под расписку с перечнем сведений и локальными нормативными актами. На документах имеется соответствующий гриф (пометка).
2. Сведения стали доступны ему во время выполнения должностных обязанностей.
3. Работник допустил виновные действия или бездействие (копировал документы, отправлял по Интернету и т.д.), вследствие которых информация стала известна третьим лицам. К таковым не относятся его коллеги, имеющие такой же допуск к охраняемой информации.
См., например, апелляционное определение Мосгорсуда от 14.08.2014 № 33-28310/14.
Разглашение коммерческой тайны — грубое нарушение трудовых обязанностей, поэтому возможно увольнение. Факт разглашения должен быть расследован комиссией в порядке, предусмотренном локальными нормативными актами.
Материальная ответственность работника ограничивается его месячным заработком (ст. 241 ТК РФ). Законом может быть установлено полное возмещение ущерба (п. 7 ст. 243 ТК РФ). До введения специальных норм следует руководствоваться пп. 3, 5, 8 ст. 243 ТК РФ (наличие умысла или приговора, нарушение за пределами рабочего времени). В любом случае необходимые обстоятельства должны быть доказаны.
3. Уголовная ответственность за разглашение коммерческой тайны по УК РФ.
Уголовная ответственность за разглашение коммерческой тайны предусмотрена ст. 183 УК РФ.
Следует иметь в виду, что и в этом случае важно документальное оформление отнесения сведений к коммерческой тайне. По ч. 1 ст. 183 ответственность наступает за собирание сведений любым незаконным способом, включая похищение документов, подкуп работников, угрозы, шантаж, взлом электронных баз данных и т. д.
Более суровая ответственность предусмотрена по ч. 2 ст. 183. Особенности этого состава:
1. Субъектом является работник или должностное лицо.
2. Деяние характеризуется как незаконное разглашение (распространение, открытие доступа и др.) или использование коммерческой тайны без согласия обладателя информации.
3. Штраф в этом случае достигает 1 млн руб., может быть назначено и лишение свободы на срок до 3 лет.
Оба указанных состава являются формальными, доказывание последствий не требуется.
При привлечении к уголовной ответственности по ч. 3 или 4 указанной статьи необходимо доказать один из квалифицирующих признаков:
- наличие мотива извлечения дохода (т. е. корысти);
- причинение крупного ущерба (более 1,5 млн руб.);
- тяжкие последствия.
Поскольку уголовное наказание может быть применено только судом, то для начала процедуры расследования необходимо обратиться в полицию с заявлением о совершении преступления и представить все подтверждающие материалы, в том числе документы дисциплинарного производства, при их наличии.
Таким образом, при соблюдении требований законодательства об установлении режима коммерческой тайны правообладатель имеет возможность воспользоваться мерами гражданской, дисциплинарной и уголовной ответственности в том случае, если контрагент, сотрудник или третье лицо, в том числе представители уполномоченных органов, допустили нарушение правомерно установленного режима секретности в отношении охраняемых сведений.
4. Трудовые отношения на предприятии, связанные с категорией «коммерческая тайна»
Статья 57 Трудового кодекса РФ предусматривает, что в трудовом договоре могут содержаться условия о неразглашении охраняемой законом тайны, в том числе коммерческой. Согласно статье 11 ФЗ №98 «О коммерческой тайне» в целях охраны конфиденциальности информации, составляющей коммерческую тайну, работодатель обязан:
1) ознакомить под расписку работника, доступ которого к этой информации, обладателями которой являются работодатель и его контрагенты, необходим для исполнения данным работником своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну;
2) ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.
Доступ работника к информации, составляющей коммерческую тайну, осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.
В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан:
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;
3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;
4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну.
Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны.
Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.
Трудовым договором с руководителем организации должны предусматриваться его обязанности по обеспечению охраны конфиденциальности составляющей коммерческую тайну информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.
Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.
Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением трудовых обязанностей.
5. Российская судебная практика по делам, связанным с нарушениями режима коммерческой тайны
Судебная практика разглашение коммерческой тайны расценивает, как правило, как нарушение гражданско-правового обязательства или трудовых обязанностей.
1.Практика арбитражных судов по делам о разглашении коммерческой тайны.
При обращении в арбитражный суд с требованием о защите прав и интересов в связи с разглашением секретной информации контрагентом или конкурирующей фирмой, учрежденной бывшим работником, следует учитывать, что доказательственная база должна отвечать повышенным требованиям. В этом случае истцу необходимо доказать:
Факт разглашения конфиденциальной информации. Если получатель информации не признает его явным образом, то это сделать очень сложно (см., например, постановление 10-го ААС от 17.04.2013 № 09АП-798413). Необходимо доказать, что ее источником является именно ответчик (постановление 17-го ААС от 24.02.2014 № 17АП-16846/13).
Предшествующие обстоятельства: установление у себя режима коммерческой тайны, наличие грифов секретности на документах, ознакомление с перечнями документов, т. е. выполнение полного спектра требований закона «О коммерческой тайне» от 29.07.2004 № 98-ФЗ (подробнее см. в постановлении 13-го ААС от 03.07.2015 № 13АП-10951/15).
При заявлении требования о возмещении убытков — дополнительно к вышеуказанному:
факт причинения убытков;
причинно-следственную связь между убытками и разглашением информации.
Если разглашение информации связано с антиконкурентным поведением, то в качестве дополнительного варианта защиты прав возможно обращение в ФАС с жалобой по ч. 1 ст. 14 закона «О защите конкуренции» от 26.07.2006 № 135-ФЗ. Однако решение ФАС может быть отменено при отсутствии достаточных, по мнению суда, доказательств (см. постановление 1-го ААС от 15.03.2016 № 01АП-502/16 — при учреждении конкурирующего общества нужно еще доказать факт передачи учредителем информации директору).
2. Отказ от разглашения конфиденциальной информации в суде.
В судебном порядке могут быть рассмотрены случаи отказа в предоставлении конфиденциальных сведений:
Отказ в ответ на запрос государственного или муниципального органа. Норма ст. 6 закона № 98-ФЗ позволяет передать этот вопрос на разрешение суда. Однако рассчитывать на то, что суд пойдет навстречу желанию сохранить информацию в тайне, не приходится. Суд вероятнее всего придет к следующему выводу: документы, подлежащие контролю со стороны государственных органов, в соответствии с законодательством подлежат представлению независимо от установления в отношении них режима коммерческой тайны (постановление ФАС СЗО от 25.10.2013 № А56-15747/2013).
Отказ от выполнения определения суда о подготовке дела. В случае отказа от представления документов в суд, есть большая вероятность того, что будет наложен судебный штраф в соответствии со ст. 66, 119 АПК РФ. Это выглядит вполне обоснованно, ведь определение суда подлежит исполнению независимо от мнения лица, у которого истребованы доказательства, относительно обоснованности требований истца и правомерности изменения исковых требований, как указал ФАС СЗО в постановлении от 27.02.2012 по делу № А05-5400/2011.
Из этого можно сделать вывод о том, что предъявление иска является достаточно эффективным законным способом для того, чтобы вынудить участника гражданского оборота раскрыть конфиденциальную информацию в суде.
3. Судебная практика по коммерческой тайне судов общей юрисдикции
В отличие от арбитражных, в судах общей юрисдикции встречаются более разнообразные подходы. Здесь не всегда можно встретить строгое предписание о соблюдении полного перечня требований к установлению режима коммерческой тайны в соответствии с законом № 98-ФЗ, что подразумевает ответственность за его нарушение. Это можно увидеть на следующих примерах:
По уголовному делу по ст. 183 УК РФ суд посчитал, что при наличии прочих мер охраны информации отсутствие грифа «Коммерческая тайна» не свидетельствует о том, что соответствующий режим не был установлен (постановление Мосгорсуда от 05.12.2013 № 4у-9352/13).
По делу об увольнении по подп. «в» ч. 6 ст. 81 ТК РФ суд не исключил возможности получения информации, которая, по мнению работодателя, составляет его коммерческую тайну, из свободных источников. Однако в скомпилированном и систематизированном подробном виде эта информация вполне может составить коммерческую тайну, и отправка ее третьему лицу на электронную почту была признана разглашением (решение Ворошиловского районного суда г. Ростова-на-Дону от 02.10.2012 № 2-2079/2012).
Астраханский областной суд включил в Обобщение судебной практики по делам об увольнении пример, в котором вовсе не исследовались вопросы о маркировке информации и ее известности третьим лицам (т. е. суд не потребовал доказывать факт разглашения). Достаточно оказалось признания судом доказанным факта подключения ноутбука, создания архивного файла на рабочем столе и непредъявления самого ноутбука.
Итак, в целях защиты нарушенных прав обладатель коммерческой тайны вправе инициировать процессы в суде общей юрисдикции (в отношении работника) или в арбитражном суде. При этом могут предъявляться различные требования к доказательствам. Для полноценного обоснования факта нарушения права на защиту охраняемой информации доказательств введения режима коммерческой тайны недостаточно, необходимо также доказать факт разглашения и наличие причинной связи.
6. Техническая защита сведений, составляющих коммерческую тайну
Методические рекомендации по технической защите информации, составляющей коммерческую тайну утверждены директором ФСТЭК России 25 декабря 2006 года. Они разработаны ФСТЭК России в соответствии с Федеральным законом o т 27 июля 2006 г. № 149 -ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29 июля 2004 г. № 98 -ФЗ «О коммерческой тайне» и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. В Методических рекомендациях рассматриваются вопросы организации защиты информации, а также вопросы применения способов, мер и средств защиты информации, составляющей коммерческую тайну.
Методические рекомендации предназначены для специалистов по защите информации, руководителей организаций, предприятий и учреждений, организующих и проводящих работы по защите информации, составляющей коммерческую тайну.
Среди технических мер защиты информации, составляющей коммерческую тайну, в первую очередь рассматривают программы, позволяющие полностью защитить информационный периметр от утечек, несанкционированного копирования или передачи данных. К таким средствам относятся DLP-системы и SIEM-системы.
Системы класса DLP настраивают таким образом, чтобы максимально исключить хищение информации внутренними пользователями. Системы класса SIEM выявляют угрозы и идентифицируют различные инциденты информационной безопасности, позволяя осуществлять полный риск-менеджмент и обеспечивать защиту от проникновений через внешний периметр защиты.
DLP-система защищает бизнес от неправомерного использования коммерчески значимой информацию по нескольким направлениям: контролирует все информационные потоки и маршруты движения документов в компании; исследует содержимое корпоративной переписки и отправлений; оповещает о нарушениях политик безопасности; помогает расследовать инциденты и предупредить утечку ценных сведений.
Системы SIEM (Security information and event management) происходят от двух классов продуктов: SIM (Security information management) — управление информационной безопасностью и SEM (Security event management) — управление событиями безопасности.
Функциональные задачи SIEM:
1. Сбор данных и нормализация: обеспечивается сбор данных (как событий ИБ, так и системных событий) от разнообразных источников: технические средства информационной безопасности (межсетевые экраны всех типов, системы предотвращения вторжений, антивирусы, системы защиты от спама, системы защиты от утечек данных, системы предварительного выполнения программ, контроля целостности и т. д.), серверы, прикладные системы и т. д.
2. Корреляция данных: сопоставление и поиск по атрибутам, группирование и индексирование по определенным признакам. По сути корреляция является ключевой функцией SIEM, выдающей на выходе список коррелированных событий;
3. Оповещение: проверка списка коррелированных событий с целью выявить инциденты ИБ и выполнить оповещение по данным инцидентам. Возможна как индикация на консоли управления SIEM, так и автоматизированное уведомление по сработанным корреляционным правилам.
4. Панели визуализации (dashboards): графики различных типов и форматов, таблицы, списки и другая визуализация по текущим событиям и инцидентам. Визуализация в значительной мере влияет на общее восприятие продукта и является важным элементом процесса Incident Monitoring/Tracking.
5. Хранение данных: хранение данных в течение заданного периода времени. Необходимо для ретроспективного анализа, расследований инцидентов, экспертиз. Большинство современных SIEM обрабатывают и хранят как сырые события (до процесса осуществления распознавания функциональных полей события (анг. - parsing), так и нормализованные события (события с распознанными полями).
6. Поиск и анализ: контекстный поиск в рамках расследований инцидентов и экспертиз. Важно отметить, что поиск в сырых и нормализованных событиях может существенно отличаться.
7. Отчетность: создание настраиваемых отчетов с целью периодического информирования службы ИБ о текущих событиях, инцидентах, трендах. Как правило, отчеты могут выгружаться и использоваться в рамках комплексных отчетов служб ИБ.
К техническим мерам защиты можно отнести все способы кодирования и шифрования данных, установление запрета на копирование, контроль компьютеров сотрудников и мониторинг использования учетных записей.
7. Снижение рисков, связанных с разглашением сведений ограниченного доступа, и ущерба от разглашения.
Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.
Для снижения рисков, связанных с разглашением сведений, относящихся к коммерческой тайне необходимо:
1. Определить перечень конфиденциальной информации.
2. Разграничить права доступа.
3. Установить наиболее вероятные каналы утечки секретных данных.
4. Разработать политику информационной безопасности.
5. Предусмотреть штрафы за нарушения в работе с информацией, относящейся к коммерческой тайне.
Для предотвращения разглашения коммерческой тайны используют следующие формы и методы:
1. Определение круга лиц, имеющих доступ к конфиденциальной информации. Из теории обеспечения секретного режима известно, что чем меньше лиц имеет доступ к закрытой информации, тем меньше вероятность ее утечки. На практике этот принцип реализуется в полном объеме – к работе с конфиденциальными данными допускаются только те лица, без услуг которых обойтись нельзя.
2. Разработка внутрифирменной системы документооборота. Утечка конфиденциальной информации весьма часто происходит из-за несанкционированного доступа к служебным документам. Содержание деловых писем, чертежей, схем, рабочей документации становится достоянием лиц, которые могут вольно или невольно нанести ущерб фирме. Четкое регламентирование системы внутрифирменного документооборота в значительной степени снижает риски разглашения коммерческой тайны по этому каналу. Для предотвращения утечки конфиденциальной информации по данной линии обычно используется система градации документов по уровню доступности. Для внутрифирменных документов вводятся специальные грифы, обозначающие уровень секретности: «Для служебного пользования» (первая градация по ограничению доступа), «Секретно» (вторая градация), «Совершенно секретно» (третья градация»). Знакомиться с документами под тем или иным грифом могут только специально допущенные сотрудники.
3. Введение специальных форм трудовых договоров с работниками предприятия. При поступлении на предприятие каждый работник, который по долгу службы будет иметь доступ к коммерческой тайне, должен ознакомиться с условиями специальных пунктов трудового договора и подписать его. Несогласие с предлагаемыми условиями автоматически означает отказ в приеме на работу. В своей содержательной части специальные пункты трудового договора оговаривают ответственность за разглашение коммерческой тайны предприятия, систему санкций и штрафов за игнорирование тех или иных мер безопасности, сроки, до истечения которых после увольнения с предприятия нельзя заниматься аналогичным бизнесом и проч. Наличие специальных трудовых договоров с условиями соблюдения коммерческой тайны является обязательным элементом в оформлении правовых отношений работника и работодателя. Без заключения подобного договора привлечь работника к ответственности за разглашение коммерческой тайны будет очень сложно, а в большинстве случаев просто невозможно.
4. Проведение специальных инструктажей и проверки знаний. Требовать от персонала соблюдения конкретных мер безопасности нельзя без проведения вводных, очередных и внеочередных инструктажей, а также проверки теоретических и практических знаний (в форме экзаменов или учений). Проводят инструктажи, как правило, компетентные работники, имеющие соответствующий опыт и знания. Вводные и очередные инструктажи проводятся в рабочем порядке; внеочередные – при наступлении какого-либо события (в его преддверии или по завершении). Отработка практических навыков проводится на учениях с привлечением персонала предприятия. Ежегодные (или полугодовые) проверки знаний заканчиваются экзаменом.
5. Создание режимных зон или объектов на предприятии. В большинстве случаев охрана коммерческой тайны связана с введением и поддержанием пропускного режима на предприятии или отдельных его объектах. Эта мера вызвана мотивом ограничения круга лиц, имеющих доступ к коммерческой тайне. В практическом плане данное мероприятие реализуется при помощи использования специальных пропусков, шифров и ключей доступа к тем или иным объектам предприятия. По стоимости, принципам действия и надежности пропускные системы могут значительно варьироваться – начиная от использования пропусков с печатями на бумажных носителях и заканчивая системами индивидуального распознавания (по папиллярным линиям, радужной оболочке глаз, термограмме лица и проч.);
6. Периодические проверки персонала на полиграфе (детекторе лжи). В последние годы данный метод находит все более широкое применение в предпринимательском деле. Разработан метод проверки сотрудников на полиграфе был в спецслужбах, но затем постепенно стал находить применение в корпоративном секторе. Мы уже упоминали о возможностях полиграфа, когда рассматривали процедуру приема сотрудников на работу. Здесь лишь отметим, что все сотрудники фирмы с определенной периодичностью проходят проверку на детекторе лжи (такая процедура предусматривается трудовым договором), отказ от прохождения которой расценивается как нарушение условий трудового соглашения и соблюдения коммерческой тайны. Сотрудники, не прошедшие тест на полиграфе, утрачивают доверие руководства фирмы со всеми вытекающими отсюда последствиями;
7. Создание на предприятии собственной службы безопасности. Для осуществления комплекса мер по соблюдению коммерческой тайны и повседневного контроля за техническими средствами безопасности на предприятии создается служба безопасности. Численность, функции и техническое оснащение данного подразделения может значительно варьироваться, в зависимости от величины предприятия, уровня секретности его производств, а также от перечня задач, ею выполняемых.